Audit et migration NTLM

Le protocole NTLM, bien que datant, reste largement utilisé dans les infrastructures Windows et est un vecteur d’attaque majeur en raison de plusieurs faiblesses : vulnérabilité aux attaques de relais (usurpation d’identité sans mot de passe), faiblesse cryptographique (hachage MD4 cassable), absence de protection contre les attaques par force brute, et stockage des hash NTLM récupérables via des techniques comme Pass-the-Hash. Dans les environnements hybrides modernes, NTLM est particulièrement risqué car il peut être un point d’entrée pour compromettre l’infrastructure cloud à partir du on-premise. Environ 70% des attaques contre les infrastructures Windows exploitent ces vulnérabilités, avec un temps moyen de compromission inférieur à 24 heures après l’exploitation de NTLM.

Un audit NTLM se déroule en trois phases : inventaire, où l’on cartographie les flux NTLM actifs via l’analyse des logs Windows 4624/4625 et des captures réseau ; analyse de configuration, pour évaluer les paramètres de Group Policy comme LmCompatibilityLevel et RestrictSendingNTLMTraffic ; et tests d’exploitation, simulant des attaques comme le NTLM Relay pour valider les vulnérabilités. L’audit se concentre sur les versions obsolètes (NTLMv1), l’implémentation de protections comme EPA, SMB Signing et Channel Binding. Les résultats sont pondérés via une matrice de risque, croisant probabilité d’exploitation et impact business, afin de prioriser les actions correctrices selon quatre niveaux de criticité.

Les alternatives recommandées à NTLM incluent Kerberos (authentification mutuelle et chiffrement fort), l’authentification par certificat (compatible PKI), et les solutions modernes comme SAML et OAuth 2.0/OIDC pour les environnements hybrides. La transition doit se faire en quatre étapes : identification des dépendances NTLM, phase de coexistence avec renforcement des configurations NTLM, migration progressive des services vers les alternatives, et désactivation de NTLM. Microsoft recommande l’utilisation de LAPS pour gérer les comptes locaux et Active Directory Certificate Services pour déployer les authentifications par certificat.

Les indicateurs de compromission spécifiques aux attaques NTLM incluent des échecs d’authentification multiples (EventID 4625) suivis de succès rapides, des connexions depuis des adresses IP inhabituelles, des tentatives d’accès à des partages SMB sensibles depuis des postes anormaux, et l’apparition de comptes machine dans des sessions interactives. Au niveau réseau, surveillez le trafic NTLM inattendu sur les ports 445 (SMB), 135 (RPC), et 139 (NetBIOS), surtout les tentatives sortantes vers Internet. Les outils de détection avancée doivent repérer les comportements anormaux comme les demandes NTLM sans négociation Kerberos ou des schémas temporels suspects (authentifications hors heures ouvrées ou à haute fréquence), qui peuvent indiquer des attaques Pass-the-Hash ou NTLM Relay.

La feuille de route de remédiation NTLM se divise en quatre phases : mesures immédiates (0-30 jours) avec correctifs Microsoft et activation de SMB Signing, actions à court terme (1-3 mois) pour renforcer les GPO et surveiller NTLM, migration vers Kerberos (3-6 mois) et désactivation progressive de NTLM (6-12 mois). Priorisez selon l’impact business et l’effort technique. Mesurez les KPI comme la réduction du trafic NTLM (-80% en 6 mois), les services migrés et les incidents liés à NTLM. Testez en environnement isolé avant chaque déploiement pour minimiser les risques.